概述
組網拓撲、限定條件和訪問需求如下圖所示,如何解決訪問需求呢?本期文章就Windows Server 2016部署VPN服務和NAT服務的方案向各位小夥伴實戰演練、總結分享。
實戰模擬組網拓撲
模擬組網拓撲中,Windows10 物理主機無法直接訪問網際網路資源,但是它可以通過三層路由訪問Windows Server 2016虛擬機;
Windows Server 2016虛擬機可訪問網際網路資源;
分配ip:172.16.20.2的網關IP,172.16.20.254;
分配IP:192.168.254.9的網關IP,192.168.254.254;
Windows Server 2016部署VPN服務和NAT服務
備註:Windows Server 2016系統防火牆處於關閉狀態;
創建VPN組和VPN用戶
在命令提示符(CMD)中輸入命令「compmgmt」打開計算機管理,添加VPN組及VPN帳戶,如下圖所示;
系統添加遠程訪問功能
打開系統「伺服器管理器」,點擊「添加角色和功能」,如下圖所示;
在「添加角色和功能嚮導」頁面中的「伺服器角色」選擇中,選中「遠程訪問」,如下圖所示;其它步驟點擊下一步操作即可;
在「添加角色和功能嚮導」頁面中的「角色服務」選擇中,選中「DirectAccess和VPN(RAS)」和「路由」,如下圖所示;其它步驟點擊下一步操作即可;
路由和遠程訪問功能配置
路由和遠程訪問初始化配置
打開系統「伺服器管理器」,點擊「工具」,選中「路由和遠程訪問」,如下圖所示;
在「路由和遠程訪問」頁面,右鍵點擊「本地」,然後點擊「配置並啟用路由和遠程訪問」,如下圖所示;
在「路由和遠程訪問伺服器安裝嚮導」頁面中,選中「自定義」,如下圖所示;
在「路由和遠程訪問伺服器安裝嚮導」「自定義配置」頁面中,選中「VPN訪問(V)」「NAT(A)」和「LAN路由(L)」,如下圖所示;省略步驟截圖,默認下一步即可,直至配置完成;
VPN服務配置
在「路由和遠程訪問」頁面中,右鍵點擊「遠程訪問日誌記錄和策略」,然後點擊「啟動NPS」並進行配置,相關配置如下圖所示;
在「條件」頁面中,添加用戶組和隧道類型,用戶組選擇前期創建的vpn組,隧道類型選擇「PPTP」,如下圖所示;
創建VPN服務虛擬地址池,如下圖所示;
重啟VPN服務,如下圖所示;
NAT服務配置
在「路由和遠程訪問」頁面「IPv4」列表中,右鍵點擊「NAT」,然後「新建接口」,把網卡「Ethernet0」添加進來,如下圖所示;
省略步驟截圖,默認下一步即可,直至配置完成;
Windows 10 物理主機連接VPN及查看狀態
連接VPN
打開Windows 設置,如下圖所示;
查看連接VPN前後的狀態
系統連接VPN前,通過命令「route print」查看系統路由表得知,存在一條默認路由,如下圖所示;
系統連接VPN前,通過命令「ipconfig /all」查看系統IP位址配置得知:無dns地址,如下圖所示;
系統連接VPN後,通過命令「route print」再次查看系統路由表得知,存在兩條默認路由,如下圖所示;
系統連接VPN後,通過命令「ipconfig /all」查看系統IP位址得知,系統獲取了VPN服務下發的虛擬IP及DNS地址,如下圖所示;
測試訪問外網資源
系統連接VPN後,通過命令「nslookup www.baidu.com」查看系統解析外網資源得知:該DNS解析由系統獲取的DNS地址遞歸查詢;通過命令「ping www.baidu.com 」可得知,系統能正常ping通外網資源,詳情如下圖所示;
查看Windows Server 2016 VPN服務和NAT服務的工作狀態
Windows 10 物理主機連接VPN後,在「路由和遠程訪問」頁面中,點擊「遠埠」可查看VPN的活動埠;點擊「遠程訪問客戶端」可查看客戶端連接情況;點擊「NAT」可查看地址轉換的情況,詳情如下圖所示;
總結
本期實戰演練過程中,首先,Windows 10 物理主機通過PPTP方式連接VPN服務,獲取虛擬IP和DNS;其次,利用建立好的VPN隧道,Windows 10 物理主機把訪問網際網路的流量轉發到Windows Server 2016虛擬機;最後,Windows Server 2016虛擬機的NAT服務接管、處理此訪問並最終把該流量轉發到網際網路。
PPTP使用傳輸控制協議(TCP 1723埠)創建控制通道來發送控制命令,以及利用通用路由封裝(GRE)通道來封裝點對點協議(PPP)數據包以發送數據。若Windows Server 2016系統開啟防火牆,系統防火牆策略需放通TCP 1723埠和GRE協議。
以上實戰總結分享,希望各位小夥伴有收穫,不足之處,多多留言指正。
